Авторизация в интернет-банке Сведбанка–2 : всё починили

Вспоминаем этот пост про авторизацию в интернет-банке –  Авторизация в интернет-банке Сведбанка и других

Ситуацию улучшили настолько, что и представить невозможно: Сведбанк внедрил эстонский мобильный аутентификатор SmartID, который меня полностью устраивает (разве что, мог бы быть пошустрей, но тут я уже придираюсь).

Всем, кто делает платежи в Сведбанке (особенно мобильные), рекомендую сразу поставить - мне лично кажется на порядок удобнее кодовой карты.

Осталась одна претензия - поиск в платежах мог бы быть с большим вниманием к деталям. Например, учитывать, что я не знаю, пишется чьё-то имя со знаком долготы, или нет. Или находить в поиске отсылке денег не только тех, кому я уже слал, но и тех, кто слал мне.

Авторизация в интернет-банке Сведбанка и других

Новые европейские регулы требуют, чтобы в скором времени банковские транзакции свыше определённой суммы обеспечивались не только кодом из карты кодов, но более надёжным способом аутентификации. В комментах на Дельфи, где всегда разверзаются бездны ада по любому поводу, сразу начался вой и срач, мол, заставят всех покупать калькуляторы кодов, бла-бла-бла.

Калькулятор кодов (коробчка с экраном) мне тоже  носить не улыбается. Я считаю, что в век смартфонов и биометрики это анахронизм, как и карта кодов, от которой я постоянно плююсь. Мало того, что вводишь код для логина, так ещё будь добр для каждой операции. Я понимаю, что мои деньги же берегут, но вот пейпал же как-то обходится меньшей кровью? Пейпал сам по себе – тот ещё кал, но это тема другого разговора.

Калькулятор кодов

В итоге большие шишки Сведбанка решили, что аутентификация там будет псевдо-двухфакторной, с помощью СМС. Многие я думаю, с такой сталкивались в гуглопочте и других сервисах. Всё бы ничего, но это недостаточно безопасный способ, см. ниже.

https://www.wired.com/2016/06/hey-stop-using-texts-two-factor-authentication/

Если коротко, то захватчик может перехватить и перенаправить ваши СМС на другую симку, уговорив оператора, что он – это вы, или же с помощью сложных технических средств типа фальшивых вышек. Такое неоднократно проделывали в России и других странах с гражданскими активистами и просто ради бабла.

Какое же решение? Приложение типа Google Authenticator на телефоне, которое даёт нам настоящую двухфакторную аутентификацию. К сожалению, надежды мало – даже если Сведбанк созреет, они выпустят своё, менее удобное, более кривое и самое главное – ещё одно, хотя Гугль Аус позволяет добавлять сколько угодно чужих сервисов. В конце-концов выйдет так, что на каждый чих надо будет своё приложение.

Тем более, что с точки зрения безопасности у Гугля хорошая биография, и мне не кажется, что в Сведбанке сделают лучше.

Ещё там прикрутили аутентификацию по электронной подписи из ID карты, которая у нас как паспорт, но с ней пока не разбирался. Описание выглядит как издевательство – сначала инсталлируешь гос. сертификаты, а потом постоянно надо вводить шестизначный ПИН. По крайней мере это уже лучше, чем случайные коды из карты.

 

Image result for latvia id card reader

e-ID card reader

SSL

Включил SSL в блоге, но пока не форсирую, слишком много ещё надо подточить.

Всё благодаря организации https://letsencrypt.org , которая раздаёт сертификаты всем желающим, и удобная софтина инсталлирует их на виндоус сервер (на линуксе поддержка родная). Про софтину прочитал у известного чувака http://weblog.west-wind.com/posts/2016/Feb/22/Using-Lets-Encrypt-with-IIS-on-Windows

Вылазка в Ригу на выходных, часть 3

Похоже, я наконец-то подхожу к финалу. Это при том, что пишу про короткую вылазку. Похоже, надо как-то оптимизировать написание заметок, и постить вам только самое интересное, а то читать перестанете. Я, в общем, для себя пишу, но иногда у меня, как у [info] avva, кризис жанра, и выходит так:

Писать я начинаю,
В башке бедлам и шум.
Писать о чем - не знаю,
Но все же напишу...

Итак, вечером в субботу мы с rk13 взламывали мой сектантский рутер от компании FON.

FE_PR_080916networking Даже пластиковую коробку с антенной надо ретушировать до гламура

Для тех, кто не в курсе, расскажу, что это такое. Как ни странно, объяснить это всегда сложно. Не знаю, почему: или я неважно это делаю, или людям не интересно, или сама концепция не такая простая, какой я её вижу. В любом случае, попытаюсь ещё раз.

1. Вы регистрируетесь на сайте fon.com (ссылка на русском)

2. Покупаете специальное устройство – беспроводной рутер La Fonera. Это такая штука, куда можно подключатся с помощью беспроводной сети, она же Wi-Fi.

3. Подключаете его дома к интернету по проводу.

fontennaМонументальная антенна обошлась мне всего в два евро

Итогом станет (упрощённо):

4. К вашему рутеру по Wi-Fi смогут подключатся посторонние. Участники сети FON –  бесплатно, случайные прохожие – за некоторую сумму, часть которой получите и вы как доход. Подключаются они по-другому, чем вы, и подсмотреть вашу переписку не смогут.

5. При поездках и походах в разные места вы сможете подключатся к таким же беспроводным рутерам FON (там, где они есть), и пользоваться интернетом бесплатно.

В сущности, это принцип ты – мне, я – тебе, он же (социально, а не технологически) p2p в интернете. Похоже оно и на секту, поэтому я называю устройство “сектантский рутер”. Вдобавок, у нас его периодически можно купить задёшево, а в США и вовсе бесплатно раздают – тоже характерный признак. Я лично купил по акции за 11 евро с антенной, чему рад, особенно теперь. Жаль, недавно была ещё акция, а я не купил второй – пригодился бы.

steve Даже глава Apple Стив Джобс не прочь полапать фанеру

"Читать про взлом и прочее" >>

nginx

Не знаю, как он это делает, но web-server nginx - это чудо из чудес. 200 одновременно скачиваемых файлов -  использование памяти не поднялось ни на йоту. То-ли я чего-то не понимаю, и ко мне прибежит хостер с дубинкой, то-ли линукс + nginx чрезвычайно эффективны.

Кстати, nginx сделан в России.